Azure Key Vault kullanmaya yönelik en iyi yöntemler
Azure Key Vault şifreleme anahtarlarını ve sertifikalar, bağlantı dizeleri ve parolalar gibi gizli dizileri korur. Bu makale, anahtar kasaları kullanımınızı iyileştirmenize yardımcı olur.
Ayrı anahtar kasaları kullanma
Uygulama başına ortam başına (geliştirme, üretim öncesi ve üretim) bölge başına kasa kullanılması önerimizdir. Ayrıntılı yalıtım, gizli dizileri uygulamalar, ortamlar ve bölgeler arasında paylaşmamanıza yardımcı olur ve ihlal olması durumunda tehdidi de azaltır.
Neden ayrı anahtar kasaları öneririz?
Anahtar kasaları, depolanan gizli diziler için güvenlik sınırlarını tanımlar. Gizli dizilerin aynı kasada gruplanması, güvenlik olayının patlama yarıçapını artırır çünkü saldırılar endişeler arasında gizli dizilere erişebilir. Endişeler arasında erişimi azaltmak için belirli bir uygulamanın hangi gizli dizilere erişmesi gerektiğini göz önünde bulundurun ve ardından anahtar kasalarınızı bu çizgiye göre ayırın. Anahtar kasalarını uygulamaya göre ayırmak en yaygın sınırdır. Ancak, güvenlik sınırları büyük uygulamalar için daha ayrıntılı olabilir( örneğin, ilgili hizmetler grubu başına).
Kasanıza erişimi denetleme
Şifreleme anahtarları ve sertifikalar, bağlantı dizeleri ve parolalar gibi gizli diziler hassas ve iş açısından kritiktir. Yalnızca yetkili uygulamalara ve kullanıcılara izin vererek anahtar kasalarınıza erişimin güvenliğini sağlamanız gerekir. Azure Key Vault güvenlik özellikleri, Key Vault erişim modeline genel bir bakış sağlar. Kimlik doğrulama ve yetkilendirmeyi açıklar. Ayrıca anahtar kasalarınıza erişimin güvenliğini sağlamayı da açıklar.
Kasanıza erişimi denetlemeye yönelik öneriler şunlardır:
- Rol tabanlı erişim denetimi (RBAC) kullanarak aboneliğinize, kaynak grubunuza ve anahtar kasalarınıza erişimi kilitleyin.
- Key Vault kalıcı erişim gerektiren uygulamalar, hizmetler ve iş yükleri için Key Vault kapsamında RBAC rolleri atama
- Privileged Identity Management (PIM) kullanarak Key Vault ayrıcalıklı erişim gerektiren işleçler, yöneticiler ve diğer kullanıcı hesapları için tam zamanında uygun RBAC rolleri atama
- En az bir onaylayan gerektir
- Çok faktörlü kimlik doğrulamasını zorlama
- Özel Bağlantı, güvenlik duvarı ve sanal ağlarla ağ erişimini kısıtlama
Kasanız için veri korumayı açma
Geçici silme açıldıktan sonra bile gizli dizilerin ve anahtar kasasının kötü amaçlı veya yanlışlıkla silinmesine karşı korunmak için temizleme korumasını açın.
Daha fazla bilgi için bkz. Azure Key Vault geçici silmeye genel bakış
Günlüğe kaydetmeyi etkinleştirin
Kasanız için günlüğe kaydetmeyi açın. Ayrıca , uyarıları ayarlayın.
Backup
Temizleme koruması, kasa nesnelerinin 90 güne kadar kötü amaçlı ve yanlışlıkla silinmesini önler. Senaryolarda, temizleme koruması olası bir seçenek olmadığında, kasa içinde oluşturulan şifreleme anahtarları gibi diğer kaynaklardan yeniden oluşturulamaz yedekleme kasası nesnelerini öneririz.
Yedekleme hakkında daha fazla bilgi için bkz. Azure Key Vault yedekleme ve geri yükleme
Çok kiracılı çözümler ve Key Vault
Çok kiracılı bir çözüm, bileşenlerin birden çok müşteriye veya kiracıya hizmet vermek için kullanıldığı bir mimari üzerine kurulmuştur. Çok kiracılı çözümler genellikle hizmet olarak yazılım (SaaS) çözümlerini desteklemek için kullanılır. Key Vault içeren çok kiracılı bir çözüm oluşturuyorsanız Çok Kiracılı ve Azure Key Vault'ı gözden geçirin.
Sık Sorulan Sorular:
Key Vault içindeki uygulama ekiplerine yalıtım sağlamak için Key Vault rol tabanlı erişim denetimi (RBAC) izin modeli nesne kapsamı atamalarını kullanabilir miyim?
Hayır. RBAC izin modeli, Key Vault içindeki tek tek nesnelere kullanıcı veya uygulamaya erişim atamasına izin verir, ancak yalnızca okuma için. Ağ erişim denetimi, izleme ve nesne yönetimi gibi tüm yönetim işlemleri için kasa düzeyinde izinler gerekir. Uygulama başına bir Key Vault olması, uygulama ekiplerindeki işleçler için güvenli yalıtım sağlar.
Sonraki adımlar
Anahtar yönetimi en iyi yöntemleri hakkında daha fazla bilgi edinin: